对于网购一族而言,年底可真是一个败家剁手的好季节啊。双11败家的钱还没还上,双12又来了,双12刚走了,圣诞促销、元旦促销、春节促销、情人节各种节日促销又来了,败家根本停不下来啊。但是在任性败家的时候,你发现了潜伏在你周围的危险了吗?尤其是对于手机购物一族,败家前看好手机钱包才是最重要的。
先来看看这篇 “金融支付类移动端的安全防范策略分析”报告。(摘自互联网金融支付安全联盟第四期期刊,其联盟会员“爱加密”提供内容)
正文:
移动支付是相对于PC端支付的一种新型支付方式,是借助移动终端(手机居多)为载体进行的一种支付方式。相对于PC端支付,移动支付具有便捷、快速等特点,这种便捷性使得移动支付成为一种新的趋势。2014年第二季度,全国共办理非现金支付业务150.38亿笔,金额456.20万亿元,其中,移动支付业务9.47亿笔,金额4.92万亿元,同比分别增长1.55倍和1.37倍,移动支付业务继续保持高位增长。
移动支付应用大概分四类:
- 手机银行客户端。目前大多银行都有自己的客户端,根据360互联网安全中心《中国移动支付安全报告》显示,市场有170家手机银行客户端,下载总量达1.08亿,其中下载量前五的分别是建行手机银行,工行手机银行,交通银行,招商银行,农行掌上银行。
- 第三方支付应用。这一类应用以支付宝、财付通等具备一定实力和信誉保障的第三方独立机构为代表,此类支付应用占去很大的市场份额。以手机支付宝(即支付宝钱包)为例,截止2013年11月13日,支付宝手机支付用户超1亿,从2014年3月以来,支付宝每天的移动支付笔数超过2500万笔。
- 电信运营商。以中国移动为例,中国移动开通手机支付,方便用户进行缴纳话费、水费、电费、燃气费及有限电视费等,同时还开通手机钱包,将日常生活中使用的各种卡片应用(如银行卡、公交卡等)装在在具有NFC功能的手机中,实现手机变钱包的功能。
- 其他含支付功能模块的手机应用,如电商类、团购类、理财类应用。对这些应用来说,支付并不是其核心功能,但支付模块却是其产品中不可缺少的功能。
移动支付应用安全现状:
移动支付快速发展的背后暗藏危机。根据调查, 2014年第一季度支付类应用共364款,共有320款应用被植入恶意病毒代码。五大购物支付类应用(支付类、电商类、团购类、理财类、银行类)中,每一类均存在大量被二次打包的现象,不少手机支付购物类APP的非官方版本被植入了病毒代码。
(数据来源:艾媒咨询)
常见移动支付应用攻击方式:
- 系统使用键盘和输入法攻击
用户在使用手机支付的时候都会使用键盘和输入法输入账号信息和密码。黑客就可以通过对系统输入法的攻击,达到对支付应用内部输入框数据的窃取。
- 界面截取
用户在进行支付输入密码的时候,密码输入框信息为“*”,但在实际上在触发键盘的瞬间,大概1秒的时间,会显示输入的具体数字或者字母,黑客可以对界面进行实时监控,利用这1秒的时间截取屏幕,获取密码。
- 储存本地数据窃取、用户隐私窃取
黑客可以利用技术手段获取手机本地的数据,用户隐私,如通讯录、账号信息等。
- 反编译源码进行钓鱼攻击
黑客可能会对应用进行反编译、获取源码、修改源码、嵌入病毒、再进行打包签名,做一个和原应用一样的应用,而这个新应用里包含了如扣费、窃取隐私一类的病毒,而用户很难发现。
- 网络交互协议抓取
就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,但往往被别有用心之人用来网络作弊。
面对如此严峻现状,我们该如何保障移动支付应用安全?
保障移动支付安全,需要移动支付链的各方参与者共同维护,包括开发者、政府、应用渠道、安全服务商和用户。
- 开发者:从源头保护应用
开发者是移动支付的源头,从源头上保护应用安全,是每个开发者的义务,尤其在研发应用之时,开发者需要从技术角度对应用进行保护,从根本上保护应用安全。
1) 保护源码,保护Linux动态库以及存放在assets下的网页文件的安全。对于移动支付应用最重要的so文件,开发者尤其需要重视,可以借助第三方的安全服务商进行加密保护。
2) 保护数据,包括本地数据存储安全和账号密码等敏感数据内存安全
3) 保证证书安全
4) 防止服务器地址被盗取和篡改
5) 防止钓鱼攻击、网络监听
2. 政府:出台行业标准,规范应用基准
目前,移动支付行业的法律法规不健全;加密标准和加密算法也不够规范;行业内缺乏统一标准;这些都需要相关部门和行业来共同制定实施,保障支付安全。伴随着移动支付的爆发式增长,监管政策亟待增强。
3. 应用市场:加强审核
应用市场是用户进行应用下载的主要渠道,对提交应用市场的应用进行安全审核能有效的降低恶意应用流向用户的数量,因此,应用市场加强审核是保障支付应用安全的重要一环。
4. 安全服务商:提供安全快捷、全方位的安全服务
目前,市场上有多种为移动应用提供安全服务的厂商,但是能够满足移动金融支付类应用高要求、高防护、高级别需求的专业移动安全服务厂商并不多, 作为关系着用户个人财产的重要工具,移动支付类应用必须需要更为专业、更为安全的服务,如立体化的加密服务、漏洞检测、安全评估等,这类型的安全服务商以爱加密为代表,在整个移动支付链上有着重要的作用,能有效保障移动支付的安全。移动支付安全是一个广而深,且不断动态提升的技术领域,希望有更多安全服务商参与进来,共同研究与促进移动金融安全的进一步发展。
5. 用户:正规渠道下载应用,提高安全意识
在渠道的选择上,尽量选择大型可信的市场,选择安全放心口碑较好的下载平台,或直接在各大知名的官网进行下载,务必确保网址链接的准确性。
结论:
一直以来,机遇和危险并存。移动支付在带给我们便利的同时,同样也孕育着风险。保障移动支付安全是保障移动金融支付发展的前提,要保障移动支付的安全,必须要移动支付链上各方共同维护,加强安全意识,加强风险防范机制,提升移动支付风险管理水平,保障移动支付安全。